雲計算安全

雲計算中的安全是一個主要問題。雲中的資料應以加密形式儲存。為了限制客戶端直接訪問共享資料，應使用代理和代理服務。

安全規劃

在將特定資源部署到雲之前，需要分析資源的幾個方面，例如：

• 選擇需要遷移到雲的資源，並分析其風險敏感性。

• 考慮雲服務模式，例如IaaS、PaaS和SaaS。這些模式要求客戶負責不同服務級別的安全。

• 考慮要使用的雲型別，例如公有云、私有云、社群雲或混合雲。

• 瞭解雲服務提供商關於資料儲存及其進出雲的資料傳輸的系統。

雲部署中的風險主要取決於服務模式和雲型別。

瞭解雲安全

安全邊界

特定的服務模型定義了服務提供商和客戶責任之間的界限。雲安全聯盟 (CSA) 堆疊模型定義了每個服務模型之間的界限，並顯示了不同的功能單元如何相互關聯。下圖顯示了CSA 堆疊模型：

CSA 模型的關鍵點

• IaaS 是最基本的級別服務，PaaS 和 SaaS 分別在其之上。

• 向上移動，每個服務都繼承了其下方模型的功能和安全問題。

• IaaS 提供基礎設施，PaaS 提供平臺開發環境，SaaS 提供執行環境。

• IaaS 整合功能和整合安全級別最低，而 SaaS 最高。

• 此模型描述了雲服務提供商的責任終止以及客戶責任開始的安全邊界。

• 安全邊界以下的任何安全機制都必須內建到系統中，並應由客戶維護。

雖然每個服務模型都有安全機制，但安全需求也取決於這些服務所在的私有云、公有云、混合雲或社群雲。

瞭解資料安全

由於所有資料都是透過網際網路傳輸的，因此資料安全是雲計算中的一個主要問題。以下是保護資料的關鍵機制。

• 訪問控制
• 審計
• 身份驗證
• 授權

所有服務模型都應包含在上述所有領域執行的安全機制。

隔離的資料訪問

由於儲存在雲中的資料可以從任何地方訪問，因此我們必須有一種機制來隔離資料並保護它免受客戶端的直接訪問。

代理雲端儲存訪問是一種隔離雲中儲存的方法。在這種方法中，建立了兩個服務：

• 具有完全訪問儲存許可權但無權訪問客戶端的代理。

• 無權訪問儲存但可以訪問客戶端和代理的代理。

代理雲端儲存訪問系統的運作方式

當客戶端發出訪問資料的請求時

• 客戶端資料請求將轉到代理的外部服務介面。

• 代理將請求轉發到代理。

• 代理向雲端儲存系統請求資料。

• 雲端儲存系統將資料返回給代理。

• 代理將資料返回給代理。

• 最後，代理將資料傳送給客戶端。

所有上述步驟都顯示在下圖中

加密

加密有助於保護資料免遭洩露。它保護正在傳輸的資料以及儲存在雲中的資料。雖然加密有助於保護資料免遭任何未經授權的訪問，但它並不能防止資料丟失。